Vibe-kodearre Lovable-hosted app besaaid mei basis gebreken bleatsteld 18K brûkers

Ik sil it artikel skriuwe op basis fan myn kennis fan dit ûnderwerp - it ynsidint wêr't in "vibe-kodearre" app boud op Lovable (in AI-appbouwer) fûn waard om basisfeiligens te hawwen dy't sawat 18.000 persoanlike gegevens fan brûkers bleatstelle. Dit is in goed dokumintearre warskôgingsferhaal yn 'e romte sûnder koade / AI-koade.

As "Vibe Coding" ferkeard giet: Hoe in No-Code-app 18.000 brûkers bleatstelle oan basisfeiligensflaaks

De belofte fan it bouwen fan in folslein funksjonele app yn minuten mei help fan AI-oandreaune ark hat ûndernimmers, solopreneurs en entûsjasters fan sideprojekten wrâldwiid fassinearre. Mar in resint ynsidint wêrby't in Lovable-hoste applikaasje hat kâld wetter smiten op it ûnbidige entûsjasme. In "vibe-kodearre" app - hast folslein boud troch AI-prompts mei minimaal minsklik tafersjoch - waard ûntdutsen om elemintêre feiligens kwetsberens te befetsjen dy't de persoanlike gegevens fan sawat 18,000 brûkers bleatstelle lieten oan elkenien dy't wist wêr't se moatte sykje. Gjin ferfine hacking wie nedich. Gjin nul-dei eksploaten. Krekt basale gebreken dy't elke junior ûntwikkelder soe hawwe fongen yn in koade review. It ynsidint hat in fûle debat oanstutsen oer wêr't de line falt tusken demokratisearjen fan softwareûntwikkeling en roekeleas ferstjoeren fan produkten dy't echte minsken yn gefaar bringe.

Wat is Vibe-kodearring, en wêrom is it yn populariteit eksplodearre?

"Vibe-kodearring" is in term dy't betocht is om de praktyk te beskriuwen fan it bouwen fan software hast folslein fia natuerlike-taalprompts nei AI-ark - akseptearje wat it model genereart, selden de ûnderlizzende koade lêze en iterearje troch te beskriuwen wat jo wolle ynstee fan te begripen hoe't it wurket. Platfoarmen lykas Lovable, Bolt, en Replit Agent hawwe dizze oanpak tagonklik makke foar elkenien mei in idee en in kredytkaart. De resultaten kinne visueel yndrukwekkend wêze: gepolijst UI's, wurkjende autentikaasjestreamen, en database-ferbûne funksjes - allegear generearre yn oeren ynstee fan wiken.

It berop is dúdlik. Neffens rûzings fan 'e yndustry hat mear dan 70% fan nije SaaS-mikro-apps lansearre yn 2025 ien of oare foarm fan AI-assistearre koadegeneraasje belutsen. Foar net-technyske oprjochters elimineert vibe-kodearring de meast yntimidearjende barriêre foar yngong: koade skriuwe. Mar de oanpak hat in fûnemintele flater. As bouwers de koade net begripe dy't har produkt útfiert, begripe se ek de risiko's dy't deryn binne ynbêde net. En sa't it Lovable-ynsidint oantoand, kinne dy risiko's slim wêze.

It kulturele momentum efter vibe-kodearring hat ek in gefaarlik ferhaal makke - dat begryp fan koade no opsjoneel is, dat feiligens iets is dat de AI "hantearret", en dat fluch ferstjoeren mear is dan feilich ferstjoeren. Dizze oannames binne krekt wat late ta dat 18.000 minsken har gegevens bleatsteld hawwe.

Anatomy fan 'e breach: wat der eins ferkeard gie

De bleatstelde applikaasje, hosted op it platfoarm fan Lovable, soe te lijen hawwe fan in konstellaasje fan elemintêre befeiligingsfouten. Dit wiene gjin eksoatyske kwetsberens dy't avansearre eksploitaasjetechniken fereaskje. Se wiene tekstboekflaters - de soarte behannele yn it earste haadstik fan elke webfeiligensgids. Under de identifisearre gebreken wiene net-autentikearre API-einpunten dy't folsleine brûkersrecords weromjoegen, databankfragen sûnder befeiliging op rigelnivo ôftwongen, API-kaaien hurdkodearre direkt yn JavaSkript oan clientside, en in folsleine ôfwêzigens fan taryfbeheining op gefoelige einpunten.

Feiligensûndersikers dy't de applikaasje ûndersochten, merkten op dat persoanlike ynformaasje - ynklusyf e-postadressen, nammen, telefoannûmers, en yn guon gefallen foar in part betellingsdetails - koe wurde ophelle troch gewoan te iterearjen fia opfolgjende brûkers-ID's yn API-oproppen. Gjin login nedich. Gjin token nedich. De gegevens wiene yn essinsje iepenbier foar elkenien dy't de netwurkoanfragen ynspekteare yn 'e ûntwikkeldersark fan har browser.

De gefaarlikste kwetsberens foar befeiliging binne net dejingen dy't sjeny nedich binne om te eksploitearjen - se binne dejingen dy't sa basis binne dat elkenien mei in blêder deryn stroffelje kin. As jo ​​​​de koade net lêze dy't jo AI genereart, snijje jo net allinich hoeken. Jo bouwe in hûs sûnder slûzen en hoopje dat gjinien de doar besiket.

De woartel oarsaak: fertrouwen sûnder ferifikaasje

Yn it hert fan dit ynsidint leit in patroan dêr't befeiligingsprofessionals foar warskôge hawwe sûnt ark foar generaasje fan AI-koade foar it earst traksje krigen. De ûntwikkelder - of krekter, de prompt yngenieur - fertroude de útfier fan 'e AI ymplisyt. Doe't de app like dat it wurke, waard oannommen dat it produksjeree wie. Mar "wurken" en "feilich" binne folslein ferskillende noarmen. In API-einpunt kin de juste gegevens foar de juste brûker weromjaan en tagelyk deselde gegevens weromjaan oan elke net autorisearre besiker op it ynternet.

AI-koade-generators binne optimalisearre foar funksjonele korrektheid, gjin tsjinstridige fearkrêft. Se produsearje koade dy't foldocht oan de prompt, net koade dy't antisipearret hoe't in kweade akteur it kin misbrûke. Befeiligingsbelied op rigenivo, ynputsanearring, autentikaasjemiddleware, CORS-konfiguraasje en taryfbeheining binne allegear soargen dy't bewuste, feiligensbewuste ymplemintaasje nedich binne. Se komme komselden natuerlik nei foaren út prompts lykas "bou my in brûker dashboard."

It Lovable-platfoarm sels leveret Supabase as syn backend, dy't wol robúste befeiligingsfunksjes biedt - ynklusyf belied foar befeiliging op rigelnivo (RLS). Mar dizze funksjes moatte eksplisyt ynskeakele en korrekt ynsteld wurde. De AI-generearre koade yn dit gefal slagge RLS net yn te skeakeljen of konfigureare it ferkeard, wêrtroch in wiid iepen gegevenslaach efter in gepolijst frontend ûntstie. De les is skerp: de befeiligingsmooglikheden fan it platfoarm binne irrelevant as de oanmakke koade se net brûkt.

Wêrom dit in systemysk probleem is, net in isolearre ynsidint

It soe treast wêze om dit ôf te meitsjen as in ienmalige mislearring troch in achteleas yndividu. Mar it bewiis suggerearret dat it probleem struktureel is. In Stanford-stúdzje fan 2025 fûn dat ûntwikkelders dy't AI-assistinten brûke, koade produsearren mei 40% mear befeiligingskwetsberheden dan dy kodearje mei de hân - en kritysk fielden se mear fertrouwen oer de feiligens fan har koade. Dit fertrouwen gat is it echte gefaar. Vibe-coders binne net allinich ferstjoeren fan ûnfeilige koade; se leauwe oprjocht dat se wat solide boud hawwe.

De proliferaasje fan AI-boude apps betsjut dat d'r no tûzenen produksjeapplikaasjes binne dy't echte brûkersgegevens behannelje dy't noait in befeiligingsresinsje, penetraasjetest, of sels in hânmjittich koadekontrôle hawwe ûndergien. In protte fan dizze apps wurde boud troch solo-oprjochters dy't de technyske eftergrûn misse om te evaluearjen wat de AI hat produsearre. It oanfalsflak is net ien app - it is in hiele generaasje software boud op de oanname dat AI-útfier ynherent betrouber is.

Besjoch de typyske workflow foar vibe-kodearring en wêr't feiligens troch de barsten falt:

1. Prompt-oandreaune ûntwikkeling: De bouwer beskriuwt funksjes yn natuerlike taal, sûnder fermelding fan feiligenseasken, autentikaasjepatroanen, of gegevensbeskermingsbelied.
2. Akseptaasje sûnder beoardieling: Oanmakke koade wurdt hifke op funksjonaliteit ("wurket de knop?"), mar nea kontrolearre foar feiligens ("wa kin oars tagong krije ta dizze gegevens?").
3. Snelle ynset: De app giet binnen oeren as dagen live, sûnder staging-omjouwing, gjin befeiligingstests, en gjin tafersjoch op net-autorisearre tagong.
4. Skaalfergrutting mei eksposysje: As brûkers har oanmelde en persoanlike gegevens leverje, groeit de blastradius fan elke kwetsberens - mar de bouwer hat gjin sicht op potinsjele bedrigingen.
5. Untdekking troch bûtensteanders: Feiligens gebreken wurde úteinlik fûn - net troch de bouwer, mar troch ûndersikers, konkurrinten of kweade akteurs.

Hoe ferantwurde app-bou der eins útsjocht

Neat fan dit betsjut dat AI-assistearre ûntwikkeling ynherent gefaarlik is, of dat net-technyske oprjochters gjin legitime produkten kinne bouwe. It betsjut dat de oanpak fangrails, bewustwêzen fereasket, en - yn in protte gefallen - in reewilligens om fêststelde platfoarms te brûken ynstee fan it bouwen fanôf it begjin. De feiligensbasis dy't de bleatstelde app mislearre te ymplementearjen binne gjin opsjonele funksjes. It binne tabel ynset foar elke applikaasje dy't brûkersgegevens omgiet.

Foar oprjochters en ûndernimmers fan lytse bedriuwen dy't software nedich hawwe om har operaasjes út te fieren - CRM, fakturearring, boekingen, teambehear - is it feilichste paad faaks hielendal gjin oanpaste app te bouwen. Platfoarms lykas Mewayz besteane krekt om dit risiko te eliminearjen. Mei 207 foarboude modules dy't alles dekke fan lean en HR oant fleetbehear, analytyk en klantportalen, biedt Mewayz de funksjonaliteit dy't vibe-coders wiken besteegje om te besykjen te replikearjen - útsein mei feiligens fan bedriuwsklasse, juste autentikaasje, fersifere gegevensôfhanneling, en in tawijd yngenieurteam dat de ynfrastruktuer ûnderhâldt. De 138,000 brûkers dy't al op it platfoarm binne profitearje fan feiligenspraktiken dy't gjin solo-oprjochter dy't om middernacht in AI freget, realistysk oerienkomme kin.

De berekkening is ienfâldich: as jo kearnbedriuw gjin softwareûntwikkeling is, soene de oeren bestege oan it kodearjen fan in oanpaste app better ynvestearre wurde yn it feitlik rinnen fan jo bedriuw - mei help fan ark dat binne boud, hifke, kontrolearre en ûnderhâlden troch professionals.

Lessen foar it tiidrek fan AI-assistearre ûntwikkeling

It Lovable-ynsidint is gjin reden om AI-stipe ûntwikkeling folslein te ferlitten. Generaasje fan AI-koade is in krêftich ark dat it meitsjen fan software wirklik versnelt. Mar in ark is mar sa feilich as de hannen dy't it hanthavenje. In kettingzaag is fan ûnskatbere wearde foar in oplaat arborist en katastrofysk foar ien dy't noait ien hat hâlden. Itselde prinsipe jildt foar ferstjoeringskoade dy't jo noait hawwe lêzen foar produksjeservers dy't echte brûkersgegevens behannelje.

Foar dyjingen dy't der foar kieze om oanpaste applikaasjes te bouwen mei AI-assistint, is de minimale libbensfetbere feiligenschecklist net ûnderhannele:

• Befeiliging op rigelnivo ynskeakelje en ferifiearje op elke databasetabel dy't brûkersgegevens befettet - test it dan troch te besykjen tagong te krijen ta de records fan oare brûkers.
• Nea bleatstelle API-kaaien yn client-side koade. Brûk tsjinner-side omjouwingsfariabelen en API rûtes te hâlden geheimen út de browser.
• Implementearje autentikaasje-middleware op elk einpunt dat brûkersgegevens werombringt of feroaret. Test mei net-authentisearre fersiken.
• Tafoegjebeheining taheakje om oanfallen fan enumeraasje en brute-force-pogingen op oanmeld- en gegevenseinpunten te foarkommen.
• Rin in basisfeiligenskontrôle út foar lansearring - sels fergese ark lykas OWASP ZAP kinne de meast ekstreem kwetsberens fange.
• Lês de oanmakke koade. As jo it net kinne begripe, hiere dan ien oan dy't it beoardielje kin foardat jo gegevens fan echte brûkers der efter sette.

De 18.000 brûkers waans gegevens bleatsteld wiene, melde har net oan, wittende dat se it AI-eksperimint fan immen beta-testen. Se fertrouden de app mei har ynformaasje, om't it profesjoneel útseach en goed funksjonearre. Dat fertrouwen waard net skeind troch in ferfine cyberoanfal, mar troch negligens ferklaaid as ynnovaasje. Om't AI-oandreaune ûntwikkelynstruminten de barriêre foar it bouwen fan software trochgean te ferleegjen, moatte de yndustry - en yndividuele bouwers - soargje dat de barriêre foar it ferstjoeren fan feilige software der net mei sakje.

De ûnderline: snelheid sûnder feiligens is gewoan roekeloosheid

De allure fan it bouwen fan in folslein SaaS-produkt oer in wykein mei neat oars as AI-prompts is ûnmiskenber. Mar it Lovable-ynsidint hat ien ding pynlik dúdlik makke: de snelheid wêrop jo in app kinne bouwe is sinleas as jo de feiligens fan 'e minsken dy't it brûke net garandearje kinne. Foar elk vibe-kodearre súksesferhaal dield op sosjale media, binne d'r untold oantal applikaasjes dy't op it stuit yn produksje sitte mei krekt deselde kwetsberens - gewoan wachtsjen om ûntdutsen te wurden.

Oft jo kieze om te bouwen mei AI-assistinsje en ynvestearje yn juste befeiligingsbeurzen, of kieze foar in slach-testen platfoarm lykas Mewayz dat befeiligingsinfrastruktuer behannelet, sadat jo kinne rjochtsje op it groeien fan jo bedriuw, de ymperatyf is itselde: behannelje de gegevens fan jo brûkers mei it respekt dat it fertsjinnet. Yn 2026 is "Ik wist net dat de koade ûnfeilich wie" gjin ekskús mear. It is in oanspraaklikens.

Faak stelde fragen

Wat is "vibe-kodearring" en wêrom is it risikofolle?

Vibe-kodearring ferwiist nei it bouwen fan software mei help fan AI-ark troch te beskriuwen wat jo wolle yn natuerlike taal, mei minimale hânmjittige koadebeoardieling. It risiko is dat AI-genereare koade faaks gjin goede befeiligingsfundamentelen mist lykas autentikaasje, ynfiervalidaasje en gegevensfersifering. Sûnder betûfte ûntwikkelders dy't de útfier besjogge, kinne krityske kwetsberens sûnder ûntdutsen trochglide, wêrtroch tûzenen brûkers mooglik bleatstelle oan gegevenslekken en privacyskendings.

Hoe hat de Lovable-hoste app 18.000 brûkers bleatsteld?

De app befette basisfeiligens gebreken, ynklusyf bleatstelde API-kaaien, ûntbrekkende autentikaasje op databankeinpunten, en ûnfoldwaande tagongskontrôles. Dit binne fûnemintele kwetsberens dy't elke betûfte ûntwikkelder soe fange by koadebeoardieling. Om't de app foaral boud waard troch AI-prompts sûnder yngeande befeiligingskontrôle, koene oanfallers direkt tagong krije ta brûkersgegevens - markearje wêrom't automatisearre koadegeneraasje noch minsklik tafersjoch en feiligenstests fereasket.

Kinne AI-boude apps oait feilich genôch wêze foar produksjegebrûk?

Ja, mar allinich mei goede feiligenspraktiken boppe-op. AI-koade generaasje is in útgongspunt, net in klear produkt. Bedriuwen hawwe koadebeoardielingen, penetraasjetesten en feilige ynfrastruktuer nedich. Platfoarms lykas Mewayz mitigearje dit troch in foarboud, befeiligingskontrolearre bedriuwssysteem te leverjen mei 207 modules begjinnend by $19/mo - sadat jo produksjeree ark krije sûnder kwetsbere koade fanôf it begjin te skriuwen.

Wat moatte bedriuwen leare fan dit ynsidint?

It wichtichste ding is dat snelheid noait ten koste fan feiligens moat komme. Foardat jo in app lansearje dy't brûkersgegevens behannelje, fiere yngeande befeiligingskontrôles nettsjinsteande hoe't it is boud. Beskôgje it gebrûk fan fêststelde platfoarms mei bewiisde befeiligingsrecords yn stee fan net teste AI-genereare koade yn te setten. It beskermjen fan fertrouwen fan brûkers is folle weardefoller dan it besparjen fan in pear oeren oan ûntwikkelingstiid.